ปอท.ตีแผ่ วิธีการของแก๊งคอลเซ็นเตอร์หลอกให้ลงแอพพ์ดูดเงิน พร้อมวิธีป้องกันสำหรับประชาชน
เมื่อวันที่ 19 กุมภาพันธ์ พ.ต.อ.ศิริวัฒน์ ดีพอ รอง ผบก.ปอท. ในฐานะโฆษก บช.ก. กล่าวว่า ในปัจจุบันแก๊งคอลเซ็นเตอร์ได้พัฒนารูปแบบการหลอกลวงจากเดิมหลอกลวงให้ผู้เสียหายโอนเงินให้กับคนร้ายโดยตรง เป็นการหลอกลวงให้ผู้เสียหายกดลิงก์เพื่อทำการติดตั้งโปรแกรมในโทรศัพท์ เพื่อเข้าถึงข้อมูลและควบคุมโทรศัพท์มือถือของผู้เสียหาย ซึ่งหากคนร้ายสามารถรู้รหัสผ่านในการใช้งานแอพพลิเคชั่นธนาคาร คนร้ายก็จะสามารถทำการถอนเงินออกจากบัญชีธนาคารของเหยื่อจนหมด
โดยวิธีการของคนร้ายนั้นจะใช้แอพพลิเคชั่นในรูปแบบของโปรแกรมการควบคุมเครื่องระยะไกล หรือที่เรียกว่า Remote Desktop Software ซึ่งในช่วงแรกนั้นคนร้ายจะใช้แอพพลิเคชั่นที่ใช้งานกันโดยทั่วไป เช่น TeamViewer หรือ AnyDesk
แต่ต่อมาเมื่อมีผู้เสียหายเพิ่มมากขึ้น และมีการแจ้งเตือนทางสื่อต่างๆ ทำให้ผู้ใช้มีความระมัดระวังในการใช้งานแอพพลิเคชั่นดังกล่าว อีกทั้งหลายธนาคารยังทำการแก้ไขแอพพลิเคชั่นธนาคารเพื่อป้องกันไม่ให้คนร้ายใช้โปรแกรม Remote Desktop เพื่อใช้งานแอพพลิเคชั่นธนาคารได้ โดยการตรวจสอบว่าขณะใช้งานมีการแชร์ภาพหน้าจออยู่หรือไม่ หากมีการใช้งานอยู่จะทำให้ไม่สามารถใช้แอพพลิเคชั่นธนาคารได้
ทำให้ในปัจจุบันคนร้ายเลือกที่จะทำการเขียนแอพพลิเคชั่นขึ้นมาเอง ซึ่งคนร้ายจะสามารถทำแอพพลิเคชั่นให้มีลักษณะคล้ายกับของหน่วยงานราชการหรือองค์กรต่างๆ เพื่อสร้างความน่าเชื่อถือ และหลอกให้ผู้เสียหายยินยอมให้แอพพลิเคชั่นเข้าถึงข้อมูลด้วยวิธีการต่างๆ หรือใช้ช่องว่างของระบบปฏิบัติการในการข้ามขั้นตอนการกำหนดสิทธิการเข้าถึงข้อมูลของแอพพลิเคชั่นของคนร้ายได้
โดยขั้นตอนการหลอกลวงของคนร้ายนั้นมักจะเริ่มต้นด้วยการแอพพ์อ้างเป็นหน่วยงานรัฐหรือเอกชน หลอกให้ผู้เสียหายติดตั้งแอพพลิเคชั่นจากลิงก์ที่คนร้ายส่งให้ โดยอ้างว่าเพื่ออำนวยความสะดวกหรือเพื่อรับโปรโมชั่นพิเศษ อาจมีการทำหน้าเว็บไซต์ปลอมให้ดูน่าเชื่อถือ ซึ่งถ้าหากเหยื่อหลงเชื่อ ติดตั้งโปรแกรมของคนร้าย และกดอนุญาตให้คนร้ายควบคุมโทรศัพท์ของตน ก็จะทำให้คนร้ายสามารถมองเห็นหน้าจอ หรือควบคุมเครื่องของผู้เสียหายได้ เสมือนกับคนร้ายถือโทรศัพท์ของผู้เสียหายอยู่
จากนั้นคนร้ายจะใช้อุบายต่างๆ ในการหลอกเอาข้อมูลเพิ่มเติมจากผู้เสียหาย โดยเฉพาะรหัส PIN ในการเข้าใช้งานแอพพลิเคชั่นต่างๆ โดยหลอกให้ผู้เสียหายตั้งรหัส PIN ในแอพพลิเคชั่นของคนร้าย หรือหลอกให้ผู้เสียหายทำการชำระเงินจำนวนน้อยๆ ผ่านแอพพลิเคชั่นธนาคาร เพื่อดูว่าผู้เสียหายใช้รหัส PIN อะไร ในการทำการโอนเงิน (คนร้ายสามารถมองเห็นจากโทรศัพท์ของคนร้าย) เมื่อคนร้ายทราบรหัส PIN แล้ว จากนั้นจะบอกให้ผู้เสียหายคว่ำหน้าจอโทรศัพท์ไว้ หรือขึ้นป๊อปอัพจากแอพพลิเคชั่นของคนร้ายเพื่อบังหน้าจอไว้ หลังจากนั้นคนร้ายก็จะนำรหัส PIN ที่ได้ไปใช้งานกับแอพพลิเคชั่นธนาคารเพื่อถอนเงินออกจากบัญชีผู้เสียหายจนหมดบัญชี
แนวทางการป้องกันอาชญากรรมในรูปแบบดังกล่าว แบ่งได้ออกเป็น 3 ส่วนหลักๆ คือ
ส่วนของผู้ใช้งาน
1.หากท่านได้รับโทรศัพท์อ้างว่าเป็นเจ้าหน้าที่รัฐหรือธนาคาร แจ้งว่าให้ทำการแอดไลน์หรือส่งลิงก์เพื่อติดตั้งแอพพลิเคชั่นใดๆ ให้สันนิษฐานไว้ก่อนว่าอาจจะเป็นมิจฉาชีพ จะต้องทำการสอบถามชื่อ หน่วยงาน ก่อนที่จะวางสายเพื่อโทรศัพท์ไปสอบถามที่หน่วยงานว่าเป็นเจ้าหน้าที่จริงหรือไม่
2.ให้ระมัดระวังในการกดลิงก์ใดๆ จากบุคคลที่อ้างว่าเป็นเจ้าหน้าที่รัฐหรือธนาคาร เพราะอาจเป็นลิงก์หลอกเอาข้อมูลส่วนบุคคลหรืออาจเป็นลิงก์หลอกให้ติดตั้งแอพพลิเคชั่นของมิจฉาชีพได้
3.แอพพลิเคชั่นของหน่วยงานรัฐหรือเอกชนที่จะเปิดให้ประชาชนได้ใช้งาน มักจะมีให้ดาวน์โหลดผ่านทาง App Store หรือ Play Store
4.ให้ระมัดระวังในการติดตั้งแอพพลิเคชั่นจากแหล่งที่ไม่น่าเชื่อถือ โดยเฉพาะอย่างยิ่งแอพพลิเคชั่นที่ไม่ได้อยู่ใน App Store หรือ Play Store จะต้องให้ความระมัดระวังเป็นพิเศษ
5.หมั่นอัพเดตระบบปฏิบัติการของโทรศัพท์มือถือ และแอพพลิเคชั่นธนาคาร ให้เป็นปัจจุบันเสมอ เพราะจะช่วยปิดช่องโหว่ของระบบ ไม่ให้คนร้ายนำมาใช้ประโยชน์ได้
6.ไม่ควรตั้งรหัส PIN เหมือนกันในทุกแอพพลิเคชั่น โดยเฉพาะอย่างยิ่งรหัส PIN ของแอพพลิเคชั่นธนาคารไม่ควรตรงกับรหัส PIN ในการปลดล็อกโทรศัพท์ และไม่ควรบันทึกรหัสผ่านใดๆ ไว้ในโทรศัพท์
7.หากพลาดและดาวน์โหลดแอพพลิเคชั่นดังกล่าวมาติดตั้งแล้วให้ทำการเปิดโหมดเครื่องบิน และถอดซิมการ์ดออกจากโทรศัพท์มือถือ เพื่อไม่ให้คนร้ายทำการควบคุมเครื่องจากระยะไกล และทำการโอนเงินผ่านแอพพลิเคชั่นของธนาคารได้
ส่วนของผู้พัฒนาแอพพลิเคชั่น
1.ควรตัดฟังก์ชั่นการแสดงเครื่องหมายที่สามารถบ่งบอกได้ว่าผู้ใช้กำลังกดรหัส PIN หมายเลขใดออก เพื่อป้องกันไม่ให้คนร้ายสามารถมองเห็นรหัส PIN ผ่านการ Remote Desktop ได้
2.ทุกแอพพลิเคชั่นที่มีการใส่รหัส PIN หรือแอพพลิเคชั่นที่มีความเกี่ยวข้องกับข้อมูลที่สำคัญ ควรจะมีฟังก์ชั่นการตรวจสอบว่ามีการเปิดโปรแกรม Remote Desktop อยู่ด้วยหรือไม่ และป้องกันไม่ให้ใช้งานได้ หรือให้ผู้ใช้ทำการกดยินยอมว่าจะใช้งานโปรแกรมดังกล่าวขณะใช้โปรแกรม Remote Desktop อยู่
ส่วนของหน่วยงานภาครัฐหรือเอกชน ควรมีการประชาสัมพันธ์ หรือช่องทางให้ประชาชนตรวจสอบข้อมูลได้ ว่าปัจจุบันหน่วยงานหรือองค์กรของท่าน มีการให้บริการประชาชนผ่านทางแอพพลิเคชั่นใดบ้าง สามารถดาวน์โหลดได้จากช่องทางใด เพื่อให้ประชาชนไม่หลงเชื่อดาวน์โหลดแอพพลิเคชั่นปลอมของคนร้าย
ทั้งนี้ พี่น้องประชาชนสามารถแจ้งเบาะแสการกระทำความผิดของคนร้ายไปยังกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (บก.ปอท.) ได้ที่เว็บไซต์ https://tcsd.go.th/แจ้งเบาะแส/ และหากพี่น้องประชาชนได้รับความเสียหายจากอาชญากรรมออนไลน์ สามารถแจ้งความร้องทุกข์ได้ที่สถานีตำรวจในท้องที่เกิดเหตุ หรือแจ้งความออนไลน์ได้ด้วยตนเองที่เว็บไซต์ https://www.thaipoliceonline.com ได้ตลอด 24 ชั่วโมง
